Paulo Henrique escreveu: > Welkson Renny de Medeiros escreveu: > >> Senhores, >> >> Não sei se já perceberam isso... para acessar a página de configuração >> do pfsense o mesmo pede senha... mas se tentar acessar diretamente a >> página do phpsysinfo ou lightsquid a senha não é solicitada. >> >> Ao meu ver, uma grave falha de segurança.. já que expõe bastante >> informação sobre o servidor e o acesso a site dos clientes. >> >> Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei >> na stable 1.2. >> >> Acho que um .htaccess talvez resolva o problema... se bem que no >> lighthttpd não sei se pode usar htaccess =) >> >> >> > Estive vendo isso no começo do ano porém o que fiz é permitir que apenas > a rede interna acesse tal conteudo, embora fica exposto para a rede > interna, quem de fato poderia se beneficiar desses dados que é o acesso > externo está bloqueado. > eu no caso boquiei a porta 8080 do pfsense para a wan. > Alguma sugestão seria interessante.. > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem desativado por padrão... fiz um teste com htaccess/htpasswd e não funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth)
O http já vem desativado na wan por default, mas geralmente eu habilito, facilita para ver algumas broncas (claro que troca a senha default, e altero para HTTPS). Habilitar o mod_auth no conf do lighthttpd provavelmente não vai resolver, já que o pfsense ler o XML e grava tudo em tempo de execução. Bem complicado mesmo =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by .... (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd